Asosiy takliflar
- Tadqiqotchilar tabiatda hech qachon koʻrilmagan macOS josuslik dasturini aniqlashdi.
- Bu eng ilgʻor zararli dastur emas va oʻz maqsadlariga erishish uchun odamlarning yomon xavfsizlik gigienasiga tayanadi.
-
Biroq, xavfsizlik boʻyicha mutaxassislarning taʼkidlashicha, Apple kompaniyasining blokirovka rejimi kabi keng qamrovli xavfsizlik mexanizmlari zamon talabidir.
Xavfsizlik boʻyicha tadqiqotchilar macOS-ga oʻrnatilgan himoyalarni bartaraf etish uchun allaqachon tuzatilgan zaifliklardan foydalanadigan yangi macOS josuslik dasturini aniqladilar. Uning kashfiyoti operatsion tizim yangilanishlaridan xabardor bo‘lish muhimligini ta’kidlaydi.
Dubbed CloudMensis, ilgari noma'lum bo'lgan, ESET tadqiqotchilari tomonidan aniqlangan josuslik dasturi, tajovuzkorlar bilan muloqot qilish va fayllarni o'chirish uchun faqat pCloud, Dropbox va boshqalar kabi ommaviy bulutli saqlash xizmatlaridan foydalanadi. Ahamiyatlisi, u fayllaringizni o‘g‘irlash uchun macOS’ning o‘rnatilgan himoyasini chetlab o‘tish uchun ko‘plab zaifliklardan foydalanadi.
"Uning imkoniyatlari aniq ko'rsatib turibdiki, uning operatorlarining maqsadi hujjatlar, tugmalar bosish va ekran tasvirlarini chiqarish orqali qurbonlarning Mac-laridan ma'lumot to'plashdir", deb yozadi ESET tadqiqotchisi Mark-Etyen M. Leveyl. “MacOS’ni yumshatish bo‘yicha zaifliklardan foydalanish zararli dastur operatorlari josuslik operatsiyalari muvaffaqiyatini maksimal darajada oshirishga faol harakat qilayotganini ko‘rsatadi.”
Doimiy josuslik dasturi
ESET tadqiqotchilari yangi zararli dasturni birinchi marta 2022-yil aprelida payqashgan va u eski Intel va silikon asosidagi yangi Apple kompyuterlariga hujum qilishi mumkinligini tushunishgan.
Balki, josuslik dasturining eng hayratlanarli jihati shundaki, CloudMensis jabrlanuvchining Mac-da oʻrnatilgandan soʻng, macOS Transparency Consent and Control (TCC) tizimini chetlab oʻtish maqsadida Apple’ning yamoqlanmagan zaifliklaridan foydalanishdan qochmaydi.
TCC foydalanuvchidan ilovalarga ekran tasvirlarini olish yoki klaviatura hodisalarini kuzatish uchun ruxsat berishni taklif qilish uchun moʻljallangan. U macOS foydalanuvchilariga Mac kompyuterlariga ulangan tizimlari va qurilmalarida oʻrnatilgan ilovalar, jumladan mikrofon va kameralar uchun maxfiylik sozlamalarini sozlash imkonini berish orqali ilovalarning foydalanuvchining nozik maʼlumotlariga kirishini bloklaydi.
Qoidalar tizim yaxlitligini himoya qilish (SIP) bilan himoyalangan ma'lumotlar bazasida saqlanadi, bu faqat TCC demoni ma'lumotlar bazasini o'zgartirishi mumkinligini ta'minlaydi.
Oʻz tahlillariga asoslanib, tadqiqotchilar CloudMensis TCCni chetlab oʻtish va har qanday ruxsat soʻrovlaridan qochish, kompyuterning ekran, olinadigan xotira va kompyuter kabi nozik joylariga toʻsiqsiz kirish uchun bir nechta usullardan foydalanishini taʼkidlamoqda. klaviatura.
SIP o'chirilgan kompyuterlarda josuslik dasturi TCC ma'lumotlar bazasiga yangi qoidalar qo'shish orqali o'ziga nozik qurilmalarga kirish uchun ruxsat beradi. Biroq, SIP faol bo'lgan kompyuterlarda CloudMensis ma'lum zaifliklardan foydalanib, TCCni aldab, josuslik dasturi yozishi mumkin bo'lgan ma'lumotlar bazasini yuklaydi.
O'zingizni himoya qiling
"Biz odatda Mac mahsulotini sotib olganimizda uni zararli dasturlardan va kibertahdidlardan butunlay xavfsiz deb hisoblaymiz, lekin bu har doim ham shunday emas", dedi Jorj Gerchow, Sumo Logic kompaniyasining xavfsizlik bo'yicha bosh direktori, Lifewire nashriga elektron pochta orqali..
Gerchowning ta'kidlashicha, bugungi kunda ko'p odamlar uydan yoki shaxsiy kompyuterlardan foydalangan holda gibrid muhitda ishlayotgani bilan vaziyat yanada tashvishli. "Bu shaxsiy ma'lumotlarni korporativ ma'lumotlar bilan birlashtirib, xakerlar uchun zaif va kerakli ma'lumotlar to'plamini yaratadi", deb ta'kidladi Gerchow.
Tadqiqotchilar hech boʻlmaganda josuslik dasturlari TCCni chetlab oʻtishining oldini olish uchun zamonaviy Mac-ni ishga tushirishni taklif qilishsa-da, Gerchow shaxsiy qurilmalar va korporativ maʼlumotlarning yaqinligi keng qamrovli monitoring va himoya dasturlarini qoʻllashni talab qiladi.
"Korxonalar tomonidan tez-tez ishlatiladigan so'nggi nuqta himoyasi [odamlar] tomonidan tarmoqlardagi yoki bulutga asoslangan tizimlardagi kirish nuqtalarini murakkab zararli dasturlardan va rivojlanayotgan nol kunlik tahdidlardan kuzatish va himoya qilish uchun alohida o'rnatilishi mumkin", deb taklif qildi Gerchow. “Maʼlumotlarni jurnalga kiritish orqali foydalanuvchilar oʻz tarmogʻidagi yangi, nomaʼlum boʻlishi mumkin boʻlgan trafik va bajariladigan fayllarni aniqlashlari mumkin.”
Bu ortiqcha tuyulishi mumkin, ammo hatto tadqiqotchilar ham Apple iOS, iPadOS va macOS’da joriy etishni rejalashtirgan Qulflash rejimiga ishora qilib, odamlarni josuslik dasturlaridan himoya qilish uchun keng qamrovli himoya vositalaridan foydalanishga qarshi emas. Bu odamlarga tajovuzkorlar odamlarga josuslik qilish uchun tez-tez foydalanadigan xususiyatlarni osongina o‘chirib qo‘yish imkoniyatini berish uchun mo‘ljallangan.
"Eng ilg'or zararli dastur bo'lmasa-da, CloudMensis ba'zi foydalanuvchilar ushbu qo'shimcha mudofaani [yangi Qulflash rejimini] yoqishni xohlashlarining sabablaridan biri bo'lishi mumkin", deb ta'kidladi tadqiqotchilar. "Kirish nuqtalarini o'chirib qo'yish, foydalanuvchi tajribasini kamroq ishlatish hisobiga, hujum maydonini kamaytirishning oqilona usuli kabi ko'rinadi."
